네트워크에서 중립지역을 뜻하는 DMZ는 외부에 서비스를 제공해야 하는 상황에서 내부 자원을 보호 하기 위해 내부 네트워크왕 불리시킨 공간을 말합니다.
외부에서 악의적인 의도를 가진 사람들이 실제 기어 내부의 PC난 서버등에 직접접속하지 못하게 하는 기술입니다.
보통 SMz라느 구간을 두어서 DMZ 내 서버의 침입으로 부터 내부 네트워크를 보호할 수 있습니다.
보통 DMZ에는 외부 공격자의 침입으로부터 안전하게 보호되어야 하는 DB서버, 인증서 서버, 로그인 서버 등이 위치합니다.
웹 서버들은 인터넷을 통해 외부에서 접속이 가능하지만 DB서버의 경우 상단에 별도의 Firewall을 구축, 분리된 네트워크의 DMZ. 존을 구성하여 외부로부터 접근을 제한하게 된다.
외부네트워크와 내부 네트워크를 분리ㅏ고 외부에서 DMZ는 자유롭게 들어올 수 있게 설정하되 외부에서 내부롤 못들어 오게 필터링을 한다.
전용선을 사용하는 회사에서 web서비스를 한다고 가정햇을째
ISP(KT,하나)
|
회사 라우터
|
방화벽 --- DMZ
|
일반 사용자
일반사용자는 외부에 서비스를 하지 않기 때문에 인바운드 패킷을 차단하여 웜이난 해킹으로부터 보호하고 내부로 부터읭 정보 유출이난 어무진행을 위해 접속을 차단할 수 있다.
DMZ은 외부에 Web 서비스를 해야 하므로 Http(80) 포트를 오픈해야하고 외부에서 접속하영 작업해야 하는 상황에서는 telnet이난 sssh, ftp드을 오픈해줘야만 합니다.
-DMZ firewall 시나리오
user는 화사의 DMZ 안에 있는 FTP 서비스만 섭속 할 수 있다.
화사의 사내망(Intranet)은 외부의 인터넷 및 FTP 서비스에 대한 접속이 가능하다.
DMZ의 FTP Server는 모든 요청에 대해 응답을 해야한다.
외부에서 방화벽을 Ping은 불가능하다.
내부에서 외부로 Ping은 가능하다.
Firewall 라우터의 외부 인터페이스왕 내부 인터페이스는 스푸핑에 대한 대비를 해야 한다.
FTP 서비스는 POrt Redirection에 대한 대비를 해야 한다.
